为了安全地存储和管理 OpenAI API 密钥,请避免将其硬编码到您的代码库或版本控制系统中。 相反,请使用环境变量或专用的密钥管理工具。 例如,您可以将密钥存储在 .env 文件中(添加到 .gitignore 中),并使用诸如 Python 中的 python-dotenv 或 Node.js 中的 dotenv 之类的库加载它。 诸如 AWS、Azure 或 GCP 之类的云平台提供诸如 AWS Secrets Manager 或 Google Secret Manager 之类的服务,这些服务对密钥进行加密,并通过 IAM 策略管理访问。 对于本地开发,诸如 pass(密码存储)或 HashiCorp Vault 之类的工具提供加密存储。 始终确保 API 密钥永远不会在日志、错误消息或客户端代码中公开。
接下来,强制执行严格的访问控制和审计使用情况。 为 API 密钥分配所需的最低权限 - OpenAI 密钥通常不支持细粒度的权限,因此请按环境隔离密钥(例如,为开发、暂存和生产使用单独的密钥)。 通过定期生成新密钥并通过 OpenAI 的仪表板停用旧密钥来使用密钥轮换。 使用 OpenAI 的使用情况仪表板或自定义日志记录来监视 API 使用情况,以检测意外的峰值,这可能表明存在滥用行为。 使用诸如 Prometheus 或 Datadog 之类的工具集成针对异常活动的警报。 如果密钥已泄露,请立即撤消它并调查泄漏源。
最后,对您的基础架构进行端到端的保护。 对静态的 API 密钥(例如,加密磁盘或数据库)和传输中的 API 密钥(API 请求使用 TLS 1.2+)使用加密。 对于无服务器环境,请利用临时凭据(例如,AWS Lambda 的 IAM 角色)。 在 Kubernetes 中,使用具有基于角色的访问控制 (RBAC) 的 Secrets 对象。 实施网络级别的保护,例如防火墙规则,以限制对 OpenAI API 端点的传出请求。 对于代码库,请使用预提交挂钩或诸如 trufflehog 之类的工具来扫描版本控制历史记录中是否意外暴露了密钥。 通过结合这些实践 - 安全存储、最低权限访问和主动监视 - 您可以显着降低 API 密钥泄露的风险。